Certified Social Engineering
Prevention Specialist CSEPS
2-tägiger Workshop mit Kevin Mitnick!
Am kommenden 20./21. April 2005 präsentieren wir
Ihnen einen Event der Sonderklasse!
An den beiden Tagen laden wir Sie ein ins Hotel
Victoria Jungfrau, Interlaken, zu einem 2-Tage-Workshop
mit dem weltbekannten, früheren Hacker und heutigen
Social Engineering-Experten Kevin Mitnick.
An den beiden Tagen wird Kevin Mitnick als von der Swiss
Infosec eingeladenem Referenten das Thema Social
Engineering in seiner ganzen Breite behandeln und
vorstellen:
Social Engineering Overview, Attack Cycle and Methods,
Intelligence Gathering/Information Gathering, Elicitation,
Developing a pretext, Key Psychological Principles, Social
Engineering Influence Matrix, Building the Human Firewall.
Nutzen Sie diese Gelegenheit und melden Sie sich noch
heute für diesen Top-Event an!
Bei einer Buchung bis 10.
Februar 2005 profitieren Sie von einem Frühbucher-Rabatt!
Hier finden Sie das Anmeldeformular
sowie weitere Informationen zum CSEPS-Workshop.
Weitere Informationen zu Social Engineering - eine unserer
Kernkompetenzen - finden Sie ebenfalls auf unserer
Website.
BS7799 Lead Auditor Kurs - mit
Abschlussprüfung zum Certified Lead Auditor BS7799
Am 21. bis 25. Februar 2005 führen wir zum ersten
Mal in diesem Jahr den Kurs BS7799 Lead Auditor durch. An
den fünf Tagen werden die Kursteilnehmer in die
Audit-Problematik nach internationalen Standards
eingearbeitet.
Denn effektives Auditing ist ein unabdingbarer Grundstein
für den Erfolg eines Managementsystems. Dadurch entsteht
grosse Verantwortung, verbunden mit komplexen Problemen.
Auf unserer Website finden Sie weitere
Informationen zu diesem Kurs sowie zu unserem
gesamten
Ausbildungsangebot. Oder wenden Sie sich per E-Mail
jederzeit an uns.
NEU! - Kurs Verhalten in
Konfliktsituationen
Neu in unserem Ausbildungsportfolio bieten wir den Kurs Verhalten
in Konfliktsituationen an. Darin erhalten die
Kursteilnehmenden allgemeine Informationen über die
Entstehung von Konflikten und lernen das richtige
Verhalten in Konfliktsituationen.
Sie machen sich in Rollenspielen ihr bisheriges Verhalten
bewusst und lernen praxisorientiert neue Verhaltsoptionen
kennen.
Auf unserer Website finden Sie weitere
Informationen zu diesem Kurs sowie zu unserem
gesamten
Ausbildungsangebot. Oder wenden Sie sich per E-Mail
jederzeit an uns.
Phishing-Betrüger nutzen
Spendenbereitschaft aus: Vermeintliche Flut-Spenden-Seiten
aufgetaucht
Die US-Bundespolizei FBI warnt weltweit vor
Phishing-Versuchen mit der Flutkatastrophe in Südostasien
als Hintergrund.
So sind bereits diverse Internetseiten aufgetaucht, auf
welchen zu Spenden für die betroffenen Länder aufgerufen
wird. Das über solche Seiten gespendete Geld jedoch wird
von Betrügern illegal abgezweigt.
Als weiterer Betrugsversuch werden auch E-Mail-Adressen
von den Vermisstenlisten kopiert. Die Personen werden
danach persönlich angeschrieben und es werden ihnen dann
unseriöse Angebote wie Suchdienste für Vermisste,
Privatdetektive etc. gemacht oder auch solidarische
Spendenaufrufe unter Betroffenen vorgetäuscht.
Weiter wird davor gewarnt, keine E-Mail-Attachments von
unbekannten Absendern zu öffnen, in denen Videos oder
Fotos von der Tsunami-Katastrophe sein sollen. Die Gefahr
von Virenbefall sei sehr gross.
Quelle: derstandard.at, 10.01.2005
< zu den Themen
Sicherheitslücke aufgedeckt…:
...und nun vom Hersteller verklagt
Ein momentaner Gerichtsstreit in Frankreich, der
spätestens bei der Urteilsverkündung im März 2005 zum
Präzedenzfall werden könnte, macht in den Medien die
Runde.
Der französische Student Guillaume Tena wurde von der
französischen Firma Tegam für das Aufdecken einer
Sicherheitslücke in einem ihrer Antivirenprogramme
Viguard verklagt. Er hatte bei Untersuchungen an der
Software herausgefunden, dass sich diese aushebeln liess
und somit ihre Wirksamkeit als Virenschutz verlor. Diese
Information machte er unter einem Pseudonym publik, was
dem Hersteller missfiel.
So wurde der Student unter anderem wegen Verstoss gegen
das Gesetz zum Schutze geistigen Eigentums und Verletzung
des Copyrights verklagt. Er soll das Programm
unrechtmässig kopiert und dann untersucht und den Code
disassembliert und teilweise publiziert haben.
Sollte der Hersteller Recht bekommen und das Gericht
Guillaume Tena schuldig sprechen, könnte dies zumindest
in Frankreich einen Präzedenzfall für den Umgang mit
Sicherheitslücken schaffen, der Sicherheitsexperten in
Zukunft vor einige Probleme stellen würde. Ein
Mitarbeiter des französischen Sicherheits-Portals K-otic
meinte auf der englischen Newssite The Register zu diesem
Szenario: "Full Disclosure könnte in Frankreich
illegal werden."
Quelle: www.heise.de, 12.01.2005
< zu den Themen
Alle sind gleichermassen
bedroht: Fazit einer Sicherheitsumfrage
Der Sicherheitsexperte Symantec und die deutsche
Zeitschrift "Computer im Mittelstand" haben eine
Studie über die IT-Sicherheit in kleineren und
mittelständischen Unternehmen gemacht. Dabei wurden über
100 KMUs mit 15-250 Mitarbeiter im deutschsprachigen Raum
befragt.
Die Umfrage hat klar gezeigt, dass es keinen direkten
Zusammenhang zwischen der Grösse einer Firma und der
Bedrohung im Bereich IT bzw. des IT-Sicherheitsniveaus
gibt.
Hans-Peter Bauer, Geschäftsführer Symantec (Deutschland)
GmbH meinte zum Resultat der Studie: "Internetrisiken
und Cyberschädlinge treffen alle Unternehmen
gleichermassen. Die Grösse eines Unternehmens sagt nichts
über dessen Gefährdung aus. Kleine Mittelständler
sollten sich nicht dem Irrglauben hingeben, sie seien kein
lohnendes Ziel für Angreifer. Ein intelligenter
Rundumschutz vor ausgeklügelten Bedrohungen aus dem
Internet ist für jedes Unternehmen notwendig – und auch
bezahlbar."
Demnach scheint sich auch die Bedrohung nicht aus der
Grösse der Investitionen ableiten zu können. Franz
Neumeier, Chefredaktor bei "Computer im
Mittelstand": "Es gibt Firmen, die mit relativ
geringen Investitionen ein hohes Sicherheitsniveau
realisieren – der Idealfall. Demgegenüber stehen
Firmen, die zwar viel investieren, denen es aber dennoch
nicht gelingt, das angestrebte Sicherheitslevel aufrecht
zu erhalten – eine Diskrepanz, die existenzbedrohend
für Unternehmen sein kann, wenn man die Kosten mangelnder
Sicherheit bedenkt.“
Die Resultate der Umfrage können hier
eingesehen werden.
Quelle: www.competence-site.de, 07.01.2005
< zu den Themen
Bedrohung fürs Internet?:
Terrorangriffe befürchtet
Bei einer Befragung von rund 1000 Internet-Experten in den
USA glaubte die Mehrheit (66%) von ihnen, dass in den
kommenden Jahren eine verheerende Attacke auf das World
Wide Web möglich sei.
Somit wird auch die Meinung von CIA-Direktor Robert Gates
unterstützt, der vor kurzem ebenfalls meinte, dass das
Internet zu einem potentiellen Ziel von Terroristen
geworden ist.
Laut der Befragung sind es vor allem die Knotenpunkte
(Backbones) - zentrale Einrichtungen und Server über die
der Webverkehr läuft - oder auch Schlüsselanwendungen
von gewissen Dienstleistern und Industrien in Gefahr. Als
Beispiel wurde der ganze Online-Banking-Sektor genannt,
sowie zentrale Provider. Eine weitere Möglichkeit einer
Attacke besteht laut den Spezialisten auch in den bereits
heute bekannten Formen von Würmern, Viren oder Trojanern.
Weitere Informationen zu dieser Befragung sind auf der Website
des Projekts einsehbar.
Quelle: www.elon.edu/predictions, 12.01.2005
< zu den Themen
Lohnausweise via Internet:
Versuchsphase gestartet
Der ab 2006 obligatorische, neue Lohnausweis wird bereits
heute versuchsweise eingesetzt. Die kantonale
Steuerverwaltung des Kantons Bern hat seit dem 1. Januar
2005 einen Versuchsbetrieb gestartet, bei welchem
teilnehmende Unternehmen den neuen Ausweis einsetzen und
online an den Kanton übermitteln.
«Während den drei Monaten werden jedoch nur Blinddaten
direkt aus dem Lohnprogramm heraus an die Steuerverwaltung
via Internet übermittelt», erklärt Francesco Bruno von
Soreco (Herstellerfirma der Software) den Ablauf der
Versuchsphase. Mit dem Test will man vor allem die
technischen Anforderungen prüfen und das Prozedere soweit
verfeinern, dass beim Start 2006 alles reibungslos klappen
wird.
Die Neuerung wird ab 2006 auf beiden Seiten administrative
Kosten sparen helfen und den Behörden den Umgang mit den
Daten erleichtern. So sind es immerhin 3,4 Millionen
Schweizer Beschäftigte, deren Lohndaten jeweils erfasst
werden und für die Suva, AHV-Ausgleichskassen etc.
aufbereitet werden müssen.
Diese Daten in Zukunft bereits beim Eingang bei der
Steuerbehörde in elektronischer Form zu haben, mindert
den Aufwand erheblich.
Quelle: www.isps.ch, 18.12.2004
< zu den Themen
T-Mobile USA gehackt: Hacker
hatte auch Einsicht in sensible Daten
T-Mobile USA hat bestätigt, dass ein 21-jähriger Hacker
in die firmeneigenen Server eingedrungen ist.
Die Meldung wurde zuerst vom Sicherheitsportal
Securityfocus verbreitet, und erst danach hat jetzt
T-Mobile den Sachverhalt erklärt.
Nach der Meldung von Securityfocus hatte der Hacker sowohl
Einsicht in die Daten aller 16,3 Millionen US-Kunden wie
auch auf E-Mails des US Secret Services. Laut T-Mobile USA
habe man das Eindringen bereits Ende 2003 entdeckt, und
danach Massnahmen ergriffen, welche in der Anklage des
Hackers endete.
Trotzdem bleiben Fragen offen. So soll die Tat noch 2003
stattgefunden haben, in der Anklage jedoch wird von einem
Zeitraum zwischen März 2004 bis Oktober 2004 gesprochen.
T-Mobile wollte sich hierzu nicht weiter äussern.
Quelle: www.zdnet.de, 13.01.2005
< zu den Themen
Trojaner in Video-Files: Nun
auch Windows Mediaplayer-Files unsicher
Nun ist auch mit den "sicheren" Zeiten bei den
Video-Dateien vorbei. Es sind WMV-Dateien aufgetaucht,
welche mit Trojanern verseucht sind
("Trj/WmvDownloader.A" und
"Trj/WmvDownloader.B").
Durch eine Schwachstelle im DRM (Digital Rights
Management) können sich diese ins System einschleichen.
DRM sollte eigentlich die Urheberrechte eines Files
schützen und prüfen. Zuerst tut es dies auf dem Rechner;
findet es dort jedoch keine Lizenz, sucht es
selbstständig im Internet nach den Rechten.
Hier schlagen dann die Trojaner zu: Anstatt mit
entsprechenden Lizenzservern Kontakt aufzunehmen, werden
von einem anderen Server zahlreiche AdWare- und
SpyWare-Programme sowie Dialer und Viren heruntergeladen.
Betroffen sind momentan Rechner mit installiertem Service
Pack 2 für Windows XP sowie dem Windows Media Player 10.
Quelle: www.zdnet.de, 12.01.2005
< zu den Themen
Computerpanne als Ursache?:
U-Bahn-Unglück in Thailand
Die U-Bahn in der thailändischen Hauptstadt Bangkok ist
erst 5 Monate in Betrieb, und schon hat sich am Montag,
dem 17. Januar 2005 ein schweres Unglück ereignet.
Laut Aussagen der Behörden ist vermutlich aufgrund einer
Computerpanne ein aus der Reparaturwerkstatt kommender,
leerer Zug auf einen mit 700 Passagieren voll besetzten
Pendlerzug aufgefahren. Zum Glück sei die Geschwindigkeit
nicht allzu hoch gewesen, sonst wäre es noch schlimmer
ausgegangen, meinte ein Polizeisprecher.
Bis der genaue Hergang des Unglücks bekannt ist, ob also
das Leitsystem versagte oder vielleicht doch menschliches
Versagen der Grund für das Unglück ist, bleibt der
Betrieb der U-Bahn eingestellt.
Quelle: www.ebund.ch, 17.01.2005
< zu den Themen
Tsunami-Spammer verhaftet:
Geklaute Bilder dienten als Beweis
Ein 24 Jahre alter Mann wurde in Pittsburgh verhaftet,
nachdem er Spam-Mails an 800’000 Adressen verschickt
hatte und darin um Spenden für die Tsunami-Opfer gebeten
hatte. Er verschickte die Mails im Namen der karitativen
Organisation Mercy Corps. Zu diesem Zweck hatte er drei
Fotos von der Site entlehnt, die auf die Site des Mercy
Corps verwiesen, beziehungsweise den Namen der
Organisation erwähnten. Doch das erwies sich als Fehler.
Die Organisation erhielt Beschwerden der Spam-Empfänger
und wurde so auf den Missbrauch aufmerksam. Anhand einer
Auswertung der Log-Dateien konnte festgestellt werden, wer
die besagten Bilder kopiert hatte. Der Täter wurde
verhaftet, befindet sich nun aber gegen Kaution auf freiem
Fuss. Mit dem erhofften Geldsegen wollte er sein Auto
reparieren und andere Rechnungen bezahlen. Auf dem für
diesen Zweck eingerichteten Bankkonto wurden aber nur 150
Dollar gefunden, die möglicherweise nicht einmal mit
seinem Spam in Verbindung stehen.
Quelle: www.usatoday.com, 14. Januar 2005
< zu den Themen
14 Jahre Haft für Datendieb:
Gericht fällt hartes Urteil
Im bisher grössten Fall krimineller Identitätsübernahme
hat das New Yorker Gericht ein hartes Urteil gefällt. Der
Hauptverantwortliche, ein 35jähriger Mann, muss für 14
Jahre hinter Gitter. Er hatte als Mitarbeiter von Teledata
Communications, einer Unternehmung für Kreditauskünfte
und Kreditkarteninformationen die Daten von 30’000
US-Bürgern entwendet und zum Stückpreis von 30 bis 60
Dollar an Kriminelle verkauft. Zurzeit befindet sich der
Täter noch gegen Kaution auf freiem Fuss, er muss sich
aber bis zum 9. März in der Haftanstalt melden. Sein
Versuch, krankheitsbedingt eine niedrigere Strafe
auszuhandeln, ist gescheitert, obwohl er bei den letzten
Verhandlungen nur noch mit einer Sauerstoffmaske erschien
und über Herzprobleme klagte.
Quelle: www.news.bbc.co.uk, 12. Januar 2005
< zu den Themen
Strategische Führungsübung des
Bundes: Szenario "Epidemie in der Schweiz"
Der Bundesrat sowie die Bundesbehörden haben am 20.
Januar 2005 an einer vom strategischen Führungsorgan des
Bundes angesetzten Übung teilgenommen. An die 500
Mitarbeiter des Bundes (Bundesrat, seine Stäbe, die
Führung von Departementen und Ämtern) wurden an der
dezentral durchgeführten Krisenübung mit dem Szenario
"Epidemie in der Schweiz" konfrontiert.
Hauptziele der Übung waren die Überprüfung der
Führungsorganisation, der interdepartementalen
Zusammenarbeit sowie der Information und Kommunikation.
Auszug aus der Pressemitteilung des Bundes:
Laut Szenario identifizierte das Referenzlabor der
Weltgesundheitsorganisation WHO in London am 19. Januar
2005 ein neues, im Dezember 2004 in der Schweiz isoliertes
Influenza-Virus. Dieses war vom Schwein auf den Menschen
übergesprungen; es drohte somit eine Pandemie (weltweite
Epidemie). In der Schweiz war gemäss Szenario am 20.
Januar 2005 mit mehreren zehntausend Erkrankungen, rund
1'500 Hospitalisierungen und gegen 200 Toten von Toten zu
rechnen. Die WHO verlangte bis am 20. Januar 2005 um 16
Uhr eine offizielle Stellungnahme der Schweizer Regierung
zu den kurz-, mittel- und längerfristig geplanten
Massnahmen.
Dieses Szenario erforderte den Einsatz der Führungsstäbe
des Bundesrats und der Departemente, eine sorgfältige und
kontinuierliche Lageanalyse, die Koordination der kurz-
und mittelfristigen Informationsmassnahmen und die
Einberufung einer ausserordentlichen Bundesratssitzung mit
anschliessender Pressekonferenz.
Diese Abläufe, die dazu nötigen Vorbereitungen und
Prozesse unterzogen den Bundesrat und seine
Führungsorganisation einem harten, aber realistischen
Test. Der Übungsablauf wurde an den verschiedenen
Standorten von der Gruppe "Beobachtung und
Auswertung" mitverfolgt, die nun eine detaillierte
Analyse und Bewertung erarbeitet.
Ein erster Überblick zeigt, dass in den Departementen und
Ämtern wie in der Bundeskanzlei engagiert und mit viel
Einsatz gearbeitet wurde und dass die wichtigsten
Herausforderungen des Szenarios erkannt und umgesetzt
wurden. Die Auswertungs resultate werden als Empfehlungen
oder Anträge dem Bundesrat vorgelegt und sollen auch
publiziert werden.
Quelle: www.admin.ch, 21.01.2005
< zu den Themen
Auch 2005 mehr
Phishing-Attacken: Einige Regeln und Tips
Online-Banking boomt. Die Erleichterung für den Kunden,
seine Geldgeschäfte schnell und bequem von zu Hause
erledigen zu können, lässt die Nutzerzahlen des
Online-Angebots bei den Banken in die Höhe steigen.
Dieser Umstand ruft jedoch auch immer mehr Betrüger auf
den Plan, die sich durch Betrugsversuche und
ausgeklügelte Attacken Zugang zu den Konten der
Online-Banking-User verschaffen wollen.
Nachdem bereits 2004 ein markanter Anstieg von
Phishing-Attacken zu verzeichnen war, rechnen die
Spezialisten auch für 2005 mit einer Welle von Attacken.
So hat beispielsweise der britische Security-Provider
Messagelabs einen Anstieg der Phishing-Mails innerhalb
eines Jahres von 279 (September 2003) auf über 2
Millionen in September 2004 verzeichnet; im November waren
es bereits über 4 Millionen weltweit. Diese Zahlen lassen
demnach nichts Gutes für die Zukunft erahnen.
Andererseits ist durch die zunehmende und mittlerweile
ständige Medienpräsenz des Themas Phishing mit einer
Sensibilisierung bei den Banken und deren Kunden zu
rechnen. Der Bundesverband deutscher Banken hat ein
Merkblatt herausgegeben, in welchem diverse nützliche
Tips und Regeln aufgelistet sind.
Regel 1: Schützen Sie sensible Daten bei der
Übertragung mittels offenen Netzen
Regel 2: Vergewissern Sie sich, mit wem Sie es zu tun
haben
Regel 3: Gehen Sie sorgfältig mit sensiblen Daten und
Zugangsmedien um
Regel 4: Wählen Sie ein sicheres Passwort
(Buchstaben/Zahlen/Sonderzeichen)
Regel 5: Setzen Sie nur Programme aus vertrauenswürdiger
Quelle ein
Regel 6: Nutzen Sie aktuelle Programmversionen - nutzen
Sie Updates
Regel 7: Führen Sie regelmässig einen Sicherheitscheck
auf Ihrem PC durch
Regel 8: Aktivieren Sie die Sicherheitseinstellungem des
Browsers
Regel 9: Setzen Sie Virenscanner und zusätzliche
Sicherheitssoftware ein
Regel 10: Fertigen Sie regelmässig
Sicherheitskopien/Backups Ihrer Daten an
Neben diesen hilft jedoch schon ein gesundes
Misstrauen und die Einhaltung genereller Sicherheitsregeln
im Internet sowie im Umgang mit persönlichen Daten und
Bankinformationen:
- Sorgfalt beim Umgang mit Passwörtern, PIN (Personal
Identification Number) und TAN
- Überprüfung von URLs, SSL (Secure Sockets Layer) und
Zertifikaten
- regelmässige Updates von Virenschutz, Betriebssystem
und Browser
- richtige Konfiguration von Firewall und Browser
- sich der Tatsache bewusst sein, dass Banken nie (!)
E-Mails zwecks Einholung sensibler Informationen senden
Die Informationsbroschüre
des Bundesverband deutscher Banken kann hier
heruntergeladen werden.
Hier finden Sie weitere
Informationen zu Phishing und zu Themen des Bereichs
Social Engineering!
Quelle: www.zdnet.de, 18.01.2005
< zu den Themen
E-Mail-Virus im Umlauf: Crowt.A
tarnt sich als CNN-Newsletter
Der Antivirenspezialist Sophos hat Meldungen über einen
mit dem Namen Crowt.A benannten Virus publiziert. Dieser
tarnt sich sehr clever mit stets veränderten
Betreffzeilen, Body und Anhängen. Als Namen- und
Inhaltgeber bedient er sich des jeweiligen Inhalts auf der
CNN-Website und gibt vor, ein aktueller
CNN-Headline-Newsletter zu sein. Somit ist er entgegen den
meisten anderen Viren nicht an einem charakteristischen
Wort, Inhalt etc. in der befallenen E-Mail zu erkennen.
Nach Angaben von Sophos hat sich der Virus jedoch noch
nicht weit verbreitet. So seien erst wenige User davon
betroffen. "Virenschreiber suchen nach immer neuen
Tricks, um unschuldige Computernutzer zur Ausführung
ihres Codes zu bewegen. Der neueste Kniff profitiert vom
Interesse der Leute an Nachrichten", so ein
Mitarbeiter von Sophos.
Ansonsten ist der Virus einer wie viele andere auch. Er
versucht nach erfolgter Aktivierung durch das Öffnen des
E-Mail-Attachments auf dem befallenen Rechner eine
Backdoor einzurichten, die es dem Hacker erlaubt, den
Computer nach Informationen zu durchsuchen. Weiter loggt
er zudem auch die Tastatureingaben, um an Passwörter und
Benutzernamen zu gelangen.
Quelle: www.zdnet.de, 21.01.2005
< zu den Themen
US-Provider blockt alle E-Mails
aus Europa: Anti-Spam Massnahme auf amerikanisch
Die E-Mail-Kommunikation mit den USA leidet seit Dezember
2004 unter massiven Störungen. Grund dafür ist Verizon,
einer der grössten US-Telefon- und Internetanbieter.
Dieser blockt - laut eigenen Angaben als
Anti-Spam-Massnahme - sämtlichen Mailverkehr von
europäischen Servern herkommend ab.
In einer Stellungnahme in verschiedenen US-Medien meinte
ein Sprecher von Verizon, dies geschehe aufgrund einer
massiven Menge von Werbesendungen aus Europa. Alles in
allem eine komische, ja fragwürdige Politik, kommt doch
fast jedes zweite Spam-Mail aus den USA selbst (42%).
Beschwerden kann man an security@verizon.net
senden, eventuell kann man so bewirken, dass der eigene
Mailserver von der Verizon-Blacklist gelöscht wird.
Quelle: 19.01.2005, derstandard.at
< zu den Themen
Luxemburg übernimmt
Projektführungsmethode des Bundes: Die Methode HERMES
überzeugte
Auf der Suche nach einem Software-Instrument für die
Projektführung im Bereich Informations- und
Kommunikationstechnik (IKT) hat sich Luxemburg für die
von der schweizerischen Bundesverwaltung entwickelte
Methode HERMES entschieden.
Mit dem Ziel das Projektmanagement im IKT-Bereich
innerhalb der Verwaltung zu professionalisieren und die
Qualität zu erhöhen hat die Luxemburger Regierung
verschiedene Instrumente der Projektführung im
IKT-Bereich evaluiert. Der Entscheid für die Methode
HERMES hat Luxemburg Ende 2004 gefällt. Ausschlaggebend
war, dass die Methode seit 30 Jahren genutzt wird und sie
sich dank ihrer freien und fast kostenlosen Verbreitung
auf dem Schweizer Mark als Standard durchgesetzt hat.
Weiter führe die weite Verbreitung von HERMES dazu, dass
auch Unternehmen, die Kundenprojekte durchführen, mit der
Methode bestens vertraut seien, das erhöhe die Qualität
und senke die Kosten der Projektabwicklung.
Quelle: www.isb.admin.ch, 17. Januar 2005
< zu den Themen
Umfrage zur elektronischen
Stimmabgabe: E-Voting würde von Mehrheit genutzt werden
Das Forschungsinstitut gfs.bern hat eine Umfrage zu einer
allfälligen Nutzung der Stimmabgabe via Internet (vote
éléctronique / E-Voting) in der Schweiz durchgeführt.
Anhand von vier Volksabstimmungen aus der jüngeren
Vergangenheit wurden 4018 Schweizer Stimmberechtigte
telefonisch über die Internet-Nutzung, das
Abstimmungsverhalten und über ihre Haltung zur
elektronischen Abstimmung befragt.
Auszug aus der Pressemitteilung der Bundeskanzlei vom
18.01.2005:
Die Schweizer Stimmberechtigten würden mehrheitlich die
Möglichkeit, elektronisch abzustimmen, nutzen, wenn sie
neben den anderen Formen der Stimmabgabe heute eingeführt
würde. Im Übrigen ist der Begriff des Vote électronique
bereits bei 65 Prozent der Bevölkerung bekannt. Dies hat
eine von der Bundeskanzlei beim Forschungsinstitut
gfs.bern in Auftrag gegebene Studie über das Potenzial
der elektronischen Stimmabgabe in der Schweiz ergeben.
Diese Studie stützt sich auf vier repräsentative
Umfragen, die in den Jahren 2003 und 2004 bei insgesamt
4'018 Stimmberechtigten durchgeführt wurden.
Die Bundeskanzlei führt gemeinsam mit den Kantonen Genf,
Neuenburg und Zürich ein Projekt über die Machbarkeit
der elektronischen Stimmabgabe durch. Zurzeit ist das
Projekt in den drei Kantonen in der Pilotphase. Die
Erfahrungen sollen im Hinblick auf eine
gesamtschweizerische Einführung bis Ende 2007 ausgewertet
werden. Im Rahmen dieses Projekts hat die Bundeskanzlei
gfs.bern mit einer Studie über das Potenzial dieser neuen
Form der Ausübung der politischen Rechte beauftragt.
Diese Studie sollte ermitteln, welcher Anteil der
Bevölkerung die Möglichkeit der elektronischen
Abstimmung nutzen würde und welche Vor- und Nachteile die
Befragten damit verbinden.
Der Begriff Vote électronique ist 65 Prozent der
Stimmberechtigten vertraut. 54 Prozent der
Stimmberechtigten können sich generell vorstellen, über
Internet abzustimmen. Als Hauptvorteil dieser Art der
Stimmabgabe wird der Komfort angegeben. Negativ fallen zur
Hauptsache Befürchtungen über die Sicherheit, das
Abstimmungsgeheimnis und zum Datenschutz ins Gewicht. 35
Prozent der Stimmberechtigten lehnen diese Form der
Stimmabgabe ab. Neben Sicherheitsproblemen führen sie
mangelnde technische Kenntnisse und eine Vorliebe für die
traditionelle Art der Stimmabgabe als Gründe an.
Hier finden Sie weitere
Informationen sowie die Studie
inkl. Zusammenfassung von www.infosociety.ch.
Quelle: www.infosociety.ch, 18.01.2005
< zu den Themen
Was nützt die PC-Sicherheit
wenn…: ...man das Notebook dann liegen lässt?
Eine interessante Umfrage hat pointsec.com gemacht. Das im
Bereich Sicherheitslösungen im mobilen
Kommunikationssektor tätige Unternehmen hat eine Umfrage
bei rund 900 Taxifahrern in neun Grossstädten
durchgeführt. Erfragt wurden die Anzahl und Häufigkeit
von Fahrten, bei welchen die Fahrgäste Mobiltelefone,
PDA's oder Notebooks liegen gelassen haben. Hochgerechnet
auf die Gesamtzahl Fahrzeuge hat die Umfrage erstaunliche
Zahlen ergeben:
Nur im zweiten Halbjahr 2004 wurden demnach
schätzungsweise 30'000 PDAs, 200'000 Mobiltelefone und
10'000 Notebooks unabsichtlich zurückgelassen. Als
Beispiele für die einzelnen Städte sind dies in München
3600 Handys, ca. 60 PDA's und ca. 60 Notebooks, in London
sogar deren 63'000 Handys, 5900 PDA's und mehr als 5000
Notebooks.
Bedenkt man nun die auf den Geräten gespeicherten Daten,
welche zum Teil sehr sensibel und vertraulich sind, kann
dies für den Betroffenen geschäftskritische Folgen
haben. Mobile Geräte sind meistens noch unzureichend
gesichert, als das sie nicht innert kürzester Zeit
geknackt werden können.
Heinz Kraus, Geschäftsführer von Pointsec meint dazu:
"Die Ergebnisse der Umfrage sind alarmierend, umso
mehr als die Geräte ja nicht nur in Taxis vergessen
werden, sondern auch in Zügen, Restaurants oder auf
Flughäfen. Kein Notebook oder ein sonstiges mobiles
Gerät darf heute noch ohne eine vollständige
Verschlüsselung aller sensiblen Daten eingesetzt werden.
Die Verantwortung für den Datenschutz können Unternehmen
nicht den einzelnen Mitarbeitern überlassen. Hier muss
die IT-Abteilung die notwendigen organisatorischen und
technischen Massnahmen ergreifen."
Quelle: www.pointsec.com, www.zdnet.de, 25.01.2005
< zu den Themen
Phishing wird immer
raffinierter: Umleitungs-Script täuscht Ebay-Benutzer
In E-Mails, die vorgeblich von Ebay stammen, wird versucht
an Account-Daten von Ebay-Benutzern zu gelangen. In den
HTML-formatierten Mails ist ein Link enthalten, dessen
Text mit "http://arribada.ebay.com" beginnt und
so vortäuschen soll zu einer verschlüsselten
Ebay-Website zu führen. Der Link führt jedoch zu einer
ganz anderen Seite. Soweit ist das Vorgehen typisch für
Phishing-Mails. In diesem Fall zeigt der Link jedoch auch
tatsächlich auf einen Ebay-Server. Er benutzt ein
allgemeines Umleitungs-Script von Ebay, um doch eine
fremde Seite zu laden. Deren URL steht ganz am Ende der
Zeile, sodass sie meist nicht auffällt.
Die aufgerufene Seite enthält dann wie üblich ein
gefälschtes Formular zur Eingabe der Ebay-Daten. Die
eingegebenen Daten werden nicht an Ebay sondern an
Unbekannte gesendet, die mit diesen Daten im Namen des
Ebay-Benutzers Geschäfte tätigen können. Durch den
Missbrauch der Umleitung, so genanntes „redirect"
kann auch bei Misstrauischen der Eindruck entstehen, das
E-Mail käme wirklich von Ebay.
Quelle: www.tagesspiegel.de, 24. Januar 2005
< zu den Themen
Pharming löst bald Phishing ab:
Redirects könnten die Zukunft von Online-Betrügereien
sein
Die Experten des US-Sicherheitsunternehmens MX Logic
warnen, dass Pharming die nächste Generation des
weitverbreiteten Phishing ist. Der Ausdruck Pharming hat
weder mit der Pharma-Industrie noch mit Landwirtschaft zu
tun. Phishing bedeutet den Köder auszuwerfen und auf
einen Fisch zu hoffen, Pharming bedeutet den Samen
auszusäen und sich nicht mehr auf den Zufall verlassen zu
müssen. Genaugenommen versuchen Betrüger bei
Phishing-Attacken über E-Mails an die Daten ihrer Opfer
zu kommen, Pharming hingegen ist ein bösartiger Redirect.
Dabei nutzen die Betrüger verschiedene Löcher in
Browsern, über die gefälschte Adresszeilen erscheinen
oder verwundbare DNS-Server erlauben es Angreifern, Daten
an andere URLs weiterzuleiten. Die Experten sind sich
sicher, dass alle Zutaten für einen grossen Angriff
vorhanden sind.
Das Vertrauen in Online-Dienste wird immer weniger, zudem
beschränken sich die meisten Abwehrstrategien auf
E-Mail-Sicherheit. Das Pharming könnte laut Experten
zukünftig eine enorme Bedrohung darstellen.
Quelle: www.silicon.de, 27. Januar 2005
< zu den Themen
Universitätsserver gehackt:
30'000 Datenbanksätze gestohlen
Auf den Server der George Mason University im
amerikanischen Virginia wurde ein heftiger Cyber-Angriff
verursacht. Die Hacker haben 30'000 Datenbanksätze mit
den Angaben von Namen, Fotos, Sozialversicherungsnummern
und Campus-Identifikationsnummern aller Mitglieder der
Fakultät inklusive des ganzen Mitarbeiterstabs gestohlen.
Das gewaltige Risiko liegt hier auf der Hand: Mehrere
Zehntausend Personen könnten Opfer des
Identitätsdiebstahls werden, eines der am schnellsten
wachsenden Verbrechen in Amerika.
Quelle: http://catless.ncl.ac.uk/Risks, 14. Januar 2005
< zu den Themen
Browser-Version mit
Anti-Phishing-Funktion: Neue Beta-Version von Netscape
rüstet auf
Die für den 17. Februar 2005 angekündigte, zweite
Beta-Version des neuen Browsers von Netscape kommt mit
einem interessanten Feature daher:
Der Browser, der sowohl mit einer IE- wie auch einer
Firefox-Engine bestückt sein wird, soll mit einer
speziellen Anti-Phishing-Funktion auf den Markt kommen. So
soll der Browser zukünftig selbständig Blacklists von
Anti-Phishing-Sites durchsuchen, und sich selber permanent
mit den neusten Informationen und URL's über solche
Betrugsseiten updaten.
Für die Umsetzung dieser Funktion steht Netscape bereits
seit längerem mit verschiedenen Sicherheits-Experten in
Verhandlung, die solche Blacklists unterhalten.
Quelle: www.netzwoche.ch, 02.02.2005
< zu den Themen
Intensivlehrgang für
Informations- und IT-Sicherheitsbeauftragte: Grundkurs
Der Intensivlehrgang fuer Informations- und
IT-Sicherheitsbeauftragte dauert 5 Tage und beinhaltet
folgende Elemente:
Die KursteilnehmerInnen werden umfassend und systemneutral
in die Bereiche Informationssicherheit und IT-Sicherheit
eingefuehrt. Die vermittelte fachliche Kompetenz erlaubt
es ihnen, die Aufgaben und Verantwortlichkeiten des
Informations- und IT-Sicherheitsbeauftragten optimal
wahrzunehmen.
Anhand von Fallbeispielen aus der Praxis, Checklisten und
Formularen lernen die Teilnehmenden, die interne
Informatik- und Informationssicherheit umfassend zu
analysieren, zu organisieren und zu administrieren. Es
werden alle notwendigen Kenntnisse, Methoden und
Arbeitstechniken vermittelt, um die verantwortungsvolle
Aufgabe des Informations- und IT-Sicherheitsbeauftragten
wahrnehmen zu koennen.
Die nächsten Kurse finden statt am: 14. - 18. März 2005,
9. - 13. Mai 2005, 13. - 17. Juni 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Kursbroschuere Swiss Infosec AG
< zu den Themen
Auditorenkurs nach BS7799 mit
Abschlussprüfung: BS7799 Lead Auditoren-Lehrgang
Effektives Auditing ist ein unabdingbarer Grundstein für
den Erfolg eines Managementsystems. Dadurch entsteht
grosse Verantwortung, verbunden mit komplexen Problemen.
Dieser fünftägige Kurs erlaubt es den Teilnehmern, sich
in die Audit-Problematik nach internationalen Standards
einzuarbeiten. Am Ende des Kurses steht die
Abschlussprüfung als BS7799-Auditor. Dies ermöglicht es
den Kursteilnehmern auch, Audits für eine
Zertifizierungsinstanz durchzuführen bzw.
Zertifizierungsinteressenten mit praktischer Hilfe und
Informationen zu unterstützen. Der Kurs wird von einem
BSI-Tutor in englischer Sprache durchgeführt.
Die nächsten Kurse finden statt am: 21. - 25. Februar
2005, 6. - 10. Juni 2005,
5. - 9. September 2005, 5. - 9. Dezember 2005
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG
< zu den Themen
Einführung BS 7799: Überblick
über die Normen: Neu!
Informationen und die sie verarbeitenden Systeme werden
für die effiziente Unternehmensführung immer wertvoller.
Wie aber sollen Ihre Informationen und die damit
verbundene Infrastruktur in einer Zeit grosser
Abhängigkeit von Informationen und IT und der zunehmenden
Vernetzung der Kommunikationssysteme geschützt werden?
Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in
die Hand, mit denen Sie diesen steigenden und sich stetig
ändernden Anforderungen gerecht werden können. Die Norm
BS 7799 hat sich bei der Einführung, Implementierung und
Aufrechterhaltung eines effizienten und zuverlässigen
ISMS als sehr erfolgreich herausgestellt, nicht zuletzt
deshalb, weil BS 7799 zertifizierbar ist. Dieser
Einführungstag gibt Ihnen einen Überblick über die
Funktionsweise der beiden Normen und zeigt, wie Sie der
Problematik der immer wichtiger werdenden
Informationssicherheit begegnen können.
Die Kursteilnehmenden lernen Inhalt und
Einsatzmöglichkeiten der Norm BS 7799 kennen. Sie wissen
um die Vor- und Nachteile der Norm, auch bei einer
Anwendung im eigenen Unternehmen. Sie kennen die
Unterschiede zwischen BS 7799 und ISO 17799.
Aus dem Inhalt:
- Ziel und Zweck BS 7799
- Vor- und Nachteile / Positionierung
- Inhalt/Umfang der Normen BS 7799 und ISO 17799
- Struktur und Rolle des BS 7799
- Was ist ein ISMS
(Informationssicherheits-Management-System)?
- Wie wird der BS 7799 eingeführt und welche Vorteile
hätte er für Ihr Unternehmen?
- Allgemeines und Diskussion
Die nächsten Kurse finden statt am: 21. März 2005.
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG
< zu den Themen
Vertiefung BS 7799: Anwendung
und Nutzung des Standards: Neu!
Das immer komplexer werdende Problem der
Informationssicherheit und des Schutzes der
unternehmenskritischen In-formationen, sowie die
steigenden externen und insbesondere rechtlichen
Anforderungen, machen es für ein Unterneh-men aus
Effizienzgruenden unabdingbar, international anerkannte
Standards einzusetzen. Um einen solchen Standard
erfolgreich einführen und mit ihm arbeiten zu können,
müssen die rechtlichen Grundlagen der Einführung der BS
7799-Norm bekannt sein. Welche Vorteile und Möglichkeiten
bietet die Einführung des BS 7799? Welchen Nutzen hat ein
ISMS und wie wird es nach BS 7799 eingeführt?
Schliesslich werden Sie mit den nach der Einführung von
BS 7799 durchzuführenden Controllings und Systemaudits
vertraut gemacht.
Im Kurs lernen die Teilnehmenden, wie man die Norm BS
7799-2:2002 anwendet, Risiken bewertet und analysiert, den
Aufbau eines ISMS nach BS 7799-2:2002 plant, steuert und
ueberwacht, eine Sicherheitspolitik erstellt und pflegt,
Sicherheitsaudits plant, durchführt und auswertet.
Aus dem Inhalt:
- Nutzen eines ISMS
- Rechtliche Grundlagen
- Risk Management
- Einführung eines ISMS nach BS 7799-2:2002
- Controlling und Systemaudits
Die nächsten Kurse finden statt am: 22. - 23. März 2005.
Weitere Informationen und die Kursanmeldung finden Sie hier.
Quelle: Swiss Infosec AG
< zu den Themen
Kursangebot Swiss Infosec AG:
Kurse Februar / März 2005
Folgende Kurse der Swiss Infosec AG sind für die Monate
Februar und März 2005 ausgeschrieben:
Management-Einführung Informations- und
IT-Sicherheit, 28. Februar 2005
Die Kursteilnehmenden werden umfassend und systemneutral
in die praxisorientierten Grundlagen der Informations- und
IT-Sicherheit eingeführt. Die Teilnehmenden lernen die
Bedeutung des Themas für das Unternehmen und verschiedene
Möglichkeiten, Informationssicherheit innerhalb des
Unternehmens zu integrieren und auszubauen. Die
entscheidenden Informationen für den Aufbau einer
geeigneten Sicherheitsorganisation im eigenen Unternehmen
werden vermittelt.
weitere
Informationen
Technische Sicherheit, 1. bis 4. März 2005
Die Kursteilnehmenden kennen die Grundlagen der
Datenkommunikation und verstehen, wie die einzelnen
Internetdienste aus dem Blickwinkel der Sicherheit
funktionieren. Diesbezüglich werden Sicherheitskonzepte
und Risiken von Netzwerkinfrastrukturen aufgezeigt und mit
praxisbezogenen Mitteln den Teilnehmenden veranschaulicht.
Durch das Ausführen von Attacken gegen Zielsysteme in
einer Testumgebung lernen sie die Vorgehensweise eines
Angreifers praktisch kennen.
weitere
Informationen
Workplace Security, 3. März 2005
Die KursteilnehmerInnen erhalten eine umfassende
Ausbildung zur Wahrung der Informationssicherheit am
PC-Arbeitsplatz. Die Ausbildung führt ein in Massnahmen
aus den Bereichen Datenschutz, Informationsschutz und
Informatiksicherheit, wobei Merksätze die spätere
Umsetzung und Einhaltung am Arbeitsplatz erleichtern
helfen. Anhand von Demos wird das Erlernte visualisiert.
Die Teilnehmenden erhalten Tipps und Anregungen, wie sie
unter Wahrung der allgemein üblichen
Sicherheitsmassnahmen arbeiten können. Sie kennen und
verstehen die Gründe der am Arbeitsplatz üblichen
Massnahmen.
weitere
Informationen
NEU: Intensivlehrgang Vorbereitung CISSP, 7. bis 11.
März 2005
Die Certified Information Systems Security Professional
(CISSP) Zertifizierung ist weltweit anerkannt. Der Kurs
bereitet die Teilnehmer auf die CISSP-Prüfung vor und
deckt den gesamten Prüfungsumfang ab. Die Prüfung
besteht aus 250 Multiple Choice-Fragen. Der Kurs wird in
deutsch gehalten mit teilweise englischen Dokumentationen
und englischer Literatur.
Der Kurs wird in Zusammenarbeit mit einem Partnerinstitut
in Zürich durchgeführt.
weitere
Informationen
Psychologische Aspekte der Sicherheit, 8. März 2005
Die Kursteilnehmenden erkennen, dass Sicherheit ebensosehr
ein Thema der Psychologie wie der Technik ist. Es soll
gezeigt werden, dass der in einem Unternehmen praktizierte
Führungsstil ebensoviel Einfluss auf die Sicherheit hat
wie der Einsatz zeitgemässer technischer Hilfsmittel.
Mitarbeitende, die als mündige Individuen angesprochen
werden, werden in Situationen in denen die Sicherheit des
Unternehmens bedroht ist, eher in der Lage sein,
selbständig und verantwortungsbewusst zu handeln als
solche, die als blosse Weisungsempfänger angesprochen
werden.
weitere
Informationen
IT-Sibe Intensivlehrgang, 14. bis 18. März 2005
Die Kursteilnehmenden werden umfassend und systemneutral
in die Bereiche Informationssicherheit und IT-Sicherheit
eingeführt. Die vermittelte fachliche Kompetenz erlaubt
es den Teilnehmenden optimal, die Aufgaben und
Verantwortlichkeiten des Informations- und
IT-Sicherheitsbeauftragten wahrzunehmen.
weitere
Informationen
BS7799 Einführungskurs, 21. März 2005
Informationen und die sie verarbeitenden Systeme werden
für die effiziente Unternehmensführung immer wertvoller.
Wie aber sollen Ihre Informationen und die damit
verbundene Infrastruktur in einer Zeit grosser
Abhängigkeit von Informationen und IT und der zunehmenden
Vernetzung der Kommunikationssysteme geschützt werden?
Die Normen BS 7799 und ISO 17799 geben Ihnen Werkzeuge in
die Hand, mit denen Sie diesen steigenden und sich stetig
ändernden Anforderungen gerecht werden können. Dieser
Einführungstag gibt Ihnen einen Überblick über die
Funktionsweise der beiden Normen und zeigt, wie Sie der
Problematik der immer wichtiger werdenden
Informationssicherheit begegnen können.
weitere
Informationen
BS7799 Vertiefungskurs, 22. bis 23. März 2005
Das immer komplexer werdende Problem der
Informationssicherheit und des Schutzes der
unternehmenskritischen Informationen, sowie die steigenden
externen und insbesondere rechtlichen Anforderungen,
machen es für ein Unternehmen aus Effizienzgründen
unabdingbar, international anerkannte Standards
einzusetzen. Um einen solchen Standard erfolgreich
einführen und mit ihm arbeiten zu können, müssen die
rechtlichen Grundlagen der Einführung der BS 7799-Norm
bekannt sein.
weitere
Informationen
Kriminalität/Protokollierung/Ermittlung/Monitoring
auf dem Internet, 29. bis 30. März 2005
Die Kursteilnehmenden werden in die Lage versetzt,
strafbare Inhalte zu identifizieren, die Grenzen und
rechtlichen Grundlagen im Zusammenhang mit
personenbezogener Protokollierung und Auswertung zu
beurteilen. Die Kursteilnehmenden kennen die rechtlichen
Grundlagen im Bereich Internet Kriminalität, können
fundiert Anfragen von Ermittlungsbehörden bearbeiten und
kennen die verfahrensrechtlichen Problembereiche.
weitere
Informationen
Quelle: Programm 2-2005
< zu den Themen
Sichere, moderne und
kostenoptimierte Archivierung? Nur eine Vision?: Swiss
Infosec AG als kompetenter Beratungspartner
Informationssicherheit soll unter anderem die
Verfuegbarkeit von Informationen gewaehrleisten.
Unternehmen archivieren gewisse Klassen von Informationen
aufgrund interner und externer Anforderungen. Zur
Sicherstellung angemessener Archivierung sind die
Informationen dementsprechend zu klassifizieren. Zu
archivieren sind im Allgemeinen jene Informationen, zu
deren Archivierung man rechtlich verpflichtet ist oder die
dazu geeignet sind, unberechtigte Ansprueche Dritter
abzuwehren.
Die Bestimmungen des Obligationenrechts zur
kaufmaennischen Buchfuehrung und insbesondere zur
ordnungsgemaessen Fuehrung und Aufbewahrung der Buecher,
Korrespondenz und Belege schreiben eine zehnjaehrige
Aufbewahrungsfrist vor. Seit dem 1. Juni 2002 ist die
Revision dieser Bestimmungen und der „Verordnung ueber
die Fuehrung und Aufbewahrung der Geschaeftsbuecher“ (GeBüV)
in der Schweiz in Kraft.
Die neuen Bestimmungen ermoeglichen es, Geschaeftsbuecher,
Geschaeftskorrespondenz und Belege nicht nur auf Papier,
sondern auch auf anderen Informationstraegern zu fuehren
und aufzubewahren. Zudem wird festgelegt, unter welchen
Voraussetzungen (z.B. digitale Signatur, Zeitstempel,
dokumentierte Verfahren) auch veraenderbare
Informationstraeger als Speichermedium zur Archivierung
zugelassen sind. Hier eroeffnen sich grosse
Sparpotenziale. Die Swiss Infosec AG unterstuetzt ihre
Kunden bei der effizienten und sicheren konzeptionellen
und technischen Umsetzung dieser neuen Bestimmungen.
Quelle: Swiss Infosec AG
< zu den Themen
Archivierung von
E-Mail-Nachrichten: Luxus oder Notwendigkeit?: Swiss
Infosec AG als kompetenter Beratungspartner
E-Mail-Nachrichten koennen Geschaeftskorrespondenz
darstellen und sind deshalb gegebenenfalls den Regeln der
kaufmaennischen Buchfuehrung folgend aufzubewahren. Immer
haeufiger fordern auch auslaendische Regulierungsbehoerden
explizit die Aufbewahrung einschlaegiger
E-Mail-Nachrichten, so bspw. die Securities and Exchange
Commission (SEC) der USA, die Financial Services Authority
in Grossbritannien und die Commission des Operations de
Bourse in Frankreich, die allesamt sichere und
vertrauenswuerdige Archivierung des E-Mail-Verkehrs
verlangen, unter Einschluss von Audit Trail
Moeglichkeiten. Die Swiss Infosec AG beantwortet ihren
Kunden Fragen zur E-Mail-Archivierung: Inwieweit sollen
oder muessen E-Mails archiviert werden, welche
Voraussetzungen muessen vorgaengig geschaffen werden,
welche konzeptionellen und technischen Anforderung sind an
die eigentliche Archivierung zu stellen, wie kann der
richterliche Beweiswert einer E-Mail-Nachricht opitmiert
werden? Soll der Benutzer lapidar aufgefordert werden,
E-Mails auszudrucken und abzulegen oder soll dies durch
ein System elektronisch erledigt werden?
Quelle: Swiss Infosec AG
< zu den Themen
Lassen Sie sich durch die Swiss
Infosec zertifizieren: IT-Grundschutz-Zertifikat
Das deutsche Bundesamt für Sicherheit in der
Informationstechnik ist bekannt als Herausgeber des
IT-Grundschutzhandbuchs. Es bietet Unternehmen nun die
Moeglichkeit, sich nach IT-Grundschutz zertifizieren zu
lassen. Dabei gibt es drei unterschiedliche Stufen der
Qualifikation:
- Selbsterklaerung "IT-Grundschutz Aufbaustufe"
- Selbsterklaerung "IT-Grundschutz
Einstiegsstufe"
- IT-Grundschutz-Zertifikat
Zusaetzlich besteht die Moeglichkeit, die Selbsterklaerung
durch den Auditor bestaetigen zu lassen..
- Selbsterklaerung "IT-Grundschutz Aufbaustufe"
mit Testat
- Selbsterklaerung "IT-Grundschutz
Einstiegsstufe"mit Testat
Das Testat bestaetigt zusaetzlich, dass ein lizenzierter
Auditor alle notwendigen Pruefungen für eine
Selbsterklaerung durchgefuehrt hat. Bei einer
Selbsterklaerung wird das BSI nie involviert.
Fuer weitere Informationen melden Sie sich bitte bei:
Swiss Infosec AG, Weissensteinstrasse 2b, 3008 Bern Tel.
031 300 73 73, www.infosec.ch.
Quelle: Swiss Infosec AG
< zu den Themen
Swiss Infosec Interna: Technics:
Technische Kompetenz
SecureNetwork
Das Arbeiten mit dem Internet ist fuer uns bereits zum
Alltag geworden und es ist kaum vorstellbar, auf dieses
Medium zu verzichten. Das Arbeiten mit dem Internet ist
aber nicht immer ungefaehrlich. Gerade im
Geschaeftsbereich passiert es immer wieder, dass Hacker in
Netzwerke eindringen, darin spionieren, den Datentransfer
beeintraechtigen oder sogar Daten manipulieren. Also ist
es wichtig, ein „sicheres Netzwerk“ zu haben, um die
Authentizitaet, Integritaet und Verfuegbarkeit von Daten
zu gewaehrleisten. Die Swiss Infosec AG bietet Konzepte
zur Implementierung von sicheren Internet-Verbindungen,
unter Beruecksichtigung aller notwendigen
Sicherheitsaspekte an.
Penetration & Manual Hacking
Kenne deine Feinde: Dieses Sprichwort gilt auch in der
Welt der Hacker und der Cyberkriminalitaet. Um moeglichst
sicher zu sein, dass implementierte Sicherheitsmechanismen
auch funktionieren, sollte man diese auch moeglichst
realitaetsnah testen. Sogenannte "Vulnerability
Scanner" pruefen automatisiert Netzwerke und Systeme
mit einem Penetration Test. Dies dient dazu, eine
allgemeine Situationsanalyse ueber bekannte
Sicherheitsprobleme zu erhalten. Je nach Konfiguration
eines Systems koennen diese Informationen aber falsch oder
unvollstaendig sein.
Mittels "Manual Hacking" koennen diese
Informationen ueberprueft und verifiziert werden. Mit
dieser manuellen Angriffsmethode, bei welcher es auch
darum geht, einen Angriff so realistisch wie moeglich
nachzubilden, werden Schwachstellen geprueft oder vertieft
beobachtet, welche so nicht mittels automatischer Scanner
ueberpruefbar sind. Bei diesen Problemen handelt es sich
meist um Sicherheitsluecken in Applikationen und
Funktionen, welche ueber das externe Netz aufgerufen
werden koennen. Teilweise handelt es sich aber auch um
Konfigurationsfehler. Durch das breite Wissensspektrum,
welches diese manuelle Angriffsmethode erfordert, braucht
diese Validierung nicht nur eine grosse Erfahrung, sondern
auch viel Phantasie, Kreativitaet und eine grosse Portion
Wissen ueber verschiedenste Systeme, Netzwektechnologien
und die "dunkle Seite".
SecureMessaging
In der Geschaeftswelt enthalten E-Mails oft vertrauliche
Daten, die nicht für Dritte bestimmt sind. Kein
Unternehmen wuerde wichtige Informationen auf einer
Postkarte versenden. In der Welt der elektronischen
Nachrichten hingegen ist das die Regel. Den Benutzern
fehlt das Bewusstsein für die Mail-Security. Die
ueberwiegende Mehrheit der Briefe geht im Klartext uebers
Internet. Weil die Botschaften unverschluesselt sind,
geraten sie leicht in falsche Haende und koennen von
Unberechtigten gelesen, veraendert oder umgeleitet werden.
Falls also Firmen vertrauliche Informationen per E-Mail
verschicken, muessen sie das elektronische Medium
gegenueber Angreifern schuetzen.
Public-Key-Verschluesselung, Mail, Relays und Firewalls
sind dabei die Mittel der Wahl.
Hardening
Immer wieder treten Luecken in der Sicherheit eines
Netzwerks auf. Unser Auftrag ist es, diese Luecken zu
finden, sie zu fuellen und das Netzwerk durch verschiedene
Methoden gegen Angriffe resistent zu machen. Man koennte
auch sagen, unter Hardening versteht man das „Haerten"
bzw. „Sichermachen“ eines potentiellen Angriffszieles.
Es werden sowohl individuell angepasste Verfahren und
Methoden, als auch bewaehrte Technologieaspekte und
Techniken eingesetzt. Grundlage hierfuer stellen
vorhandene Richtlinien der IT-Security dar. Fuer die
Aufnahme der Beduerfnisse werden unter anderem speziell
entwickelte Checklisten und Fragebogen eingesetzt, deren
identifizierte Abweichungen analysiert und dokumentiert
werden.
Quelle: Swiss Infosec AG
< zu den Themen
Baseline Tool: Verwaltung und
der Umsetzung von Sicherheitsmassnahmen
Die Swiss Infosec AG berät seit über 15 Jahren
erfolgreich ihre Kunden im Bereich der Informations- und
IT-Sicherheit. Basierend auf dieser Erfahrung entwickelte
sich die Baselinemethode und das Baseline Tool. Baselines
sind generell gültige, einfach formulierte Regeln, welche
80%-90% des gesamten Schutzbedarfes abdecken können.
Das Baseline Tool unterstützt Sie bei der Verwaltung und
der Umsetzung von Sicherheitsmassnahmen. Im Tool bereits
enthalten und für alle Benutzer Ihres Intranets
verfügbar sind die
Normen ISO 17799/BS 7799 in deutsch und englisch
sowie das
Grundschutzhandbuch des BSI und der
Baseline Katalog der Swiss Infosec AG.
Möchten auch Sie:
- Regelwerke schnell und einfach erarbeiten
- Regelwerke mehrsprachig über das Intranet kommunizieren
- Regelwerke in der Arbeitsgruppe elektronisch reviewen
- direkten Zugriff auf BS7799/17799 und das
Grundschutzhandbuch über das Intranet
- Ordnung in Ihre Schutzobjekte bringen
- Schutzobjekte und Risiken inventarisieren und
klassifizieren
- Verantwortliche Funktionen auf einen Blick erkennen
können
- Dezentrale Audits über das Intranet durchführen lassen
- Die Umsetzung eines Regelwerkes planen und begleiten
- Ihren Benutzern eine Security Intranet Site anbieten
- Ihren Benutzern eine zentrale Linkverwaltung anbieten
- Erfahrungen laufend in einem geschlossenen Kreis von
Sicherheitsbeauftragten austauschen können
Interessiert? Melden Sie sich bei uns, wir demonstrieren
Ihnen die Möglichkeiten des Tools gerne persönlich oder
besuchen Sie direkt www.baseline-tool.com.
Quelle: Swiss Infosec AG
< zu den Themen
Social Engineering als
Beratungskompetenz der Swiss Infosec AG: Social
Engineering - Risikofaktor Mensch
Keine noch so ausgeklügelten technischen
Sicherheitsmassnahmen allein bewahren Unternehmen vor
Schaden. Als grösstes Risiko und auch schwächstes Glied
in der Kette ist und bleibt der eigene Mitarbeiter jene
Stelle im Unternehmen, wo eine Attacke durch einfachste
Mitteln gestartet werden kann und eine nicht zu
unterschätzende Angriffsfläche bietet.
In bösartiger Absicht werden mit Social Engineering
gezielt Attacken auf sozialer Ebene ausgeführt um an
sicherheitsrelevante Informationen zu gelangen. Ein Social
Engineer versucht sein Opfer soweit zu manipulieren, dass
dieses ihm die gewünschten Informationen direkt
aushändigt, oder ihm aber die Möglichkeit zur
Beschaffung eröffnet.
Methodik beim Social Engineering
Generell beinhaltet Social Engineering folgende
Kernpunkte:
- Vertrauensgewinnung des "Opfers"
- Kommunikation im Fachjargon des Unternehmens
- Vortäuschen eine Autoritätsperson zu sein
- Vortäuschung von verschiedenen Stimmungslagen
(hektisch, ärgerlich, freundlich)
- Selbst ein Problem verursachen und als "Retter
in der Not" agieren
- Personen ohne Fachwissen zu sicherheitsgefährdenden
Aktionen bewegen
- Durchsuchung von Müllanlagen der Zielperson/des
Zielunternehmens
- usw.
Swiss Infosec – Ihr Social Engineering-Partner
Da Angriffe eines Social Engineers schwere Folgen
haben können, ist es wichtig, die Mitarbeiter einer
Firma über solcherlei Attacken aufzuklären und zu
sensibilisieren. Zudem sollten Sicherheitsrichtlinien
eingeführt werden, die z.B. verbieten, einer Person,
die sich als Mitarbeiter ausgibt, ohne gründliche
Prüfung von Identität und Befugnis Daten
mitzuteilen.
Hier stehen wir Ihnen als kompetenter Berater mit der
Durchführung von Audits zur Seite:
Bei einem Social Engineering Audit decken wir die für
den Geschäftsbetrieb relevanten Schwachstellen und
Risiken auf, dokumentieren und analysieren diese in
Zusammenarbeit mit den Verantwortlichen und erarbeiten
wirkungsvolle Massnahmen zu Verminderung oder
Eliminierung des Risikos. Ein Social Engineering Audit
dient insbesondere auch als Mittel zur
Bewusstseinsförderung der Mitarbeitenden im Umgang
mit der Sicherheit.
Mit zahlreichen durchgeführten Audits bei namhaften
Schweizer Grossbanken und anderen Kunden konnten wir
unser Know-how beweisen und erweitern.
Wir unterstützen Sie dabei,
- realitätsnah die Sensibilität, die Kenntnisse
und das Verhalten Ihrer Mitarbeiter in den
verschiedenen Sicherheitsbereichen zu überprüfen.
- Ihren Verantwortlichen eine Rückmeldung auf
vorgängig durchgeführte Awareness-Kampagnen wie
Schulungen, Rundschreiben usw. zu geben.
- einige Grundlagen für die Weiterentwicklung
Ihrer Sicherheitsschulungen zu erarbeiten.
- alle Beteiligten zu sensibilisieren und um ihre
– für die Sicherheit erforderlichen –
Verhaltensweisen nachhaltig einzuhalten.
- ihr schwächstes Glied in der Sicherheitskette zu
überprüfen und damit Risiken wie Gefährdung des
Lebens, Imageverlust, materielle und finanzielle
Verluste zu minimieren.
Weitere Informationen zu Social
Engineering sowie zu weiteren
Beratungskompetenzen der Swiss Infosec finden Sie
auf unserer Website.
Quelle: Swiss Infosec AG, 02.02.2005
< zu den Themen
BS7799/ISO17799 als
Beratungskompetenz: Führendes Know-how und 15 Jahre
Erfahrung machen die Swiss Infosec AG zu Ihrem
Ansprechpartner Nummer 1
Die rasante Entwicklung sowie die fortschreitende
Globalisierung im Bereich der Informationstechnologien
stellen immer höhere Ansprüche an Mensch und
Maschine. Integrität und Verfügbarkeit der Daten
gewinnen weiter an Bedeutung. Die Anforderungen an
IT-Systeme – eigene wie fremde – steigen stetig.
Eine Möglichkeit um Transparenz hinsichtlich der
Sicherheitseigenschaften von IT-Produkten zu schaffen,
ist die Prüfung und Bewertung von IT-Produkten und
-Systemen nach einheitlichen Kriterien durch
unabhängige Stellen.
Der vom British Standards Institute BSI herausgegebene
„British Standard 7799“ (in
Europa übernommen durch ISO 17799) beschreibt
ein System, mit dem sichergestellt wird, dass bei der
Entwicklung und Anwendung von IT-Systemen definierte
Sicherheitsaspekte berücksichtigt werden. Zudem
können IT-Systeme nach BS 7799 auditiert und
zertifiziert werden. Der Standard ist international
anerkannt und unterstützt Unternehmen bei der
Definition und Umsetzung einer optimalen
Sicherheitsstrategie.
Mit BS7799 Teil 2 wird der Aufbau eines Informationssicherheitsmanagements
(ISMS) beschrieben. Der Standard BS7799 hilft
mittels Empfehlungen und einfach formulierten Regeln -
sog. Baselines - dabei, die Informationssicherheit zu
erhöhen und dabei den wirtschaftlichen, rechtlichen
und unternehmerischen Ansprüchen gerecht werden.
Informationen sind kritische Erfolgsfaktoren, die es
dauernd und angemessen zu schützen gilt. Der Aufbau
eines Informationssicherheitsmanagement ist hier die
Antwort.
Profitieren Sie von 15 Jahren Erfahrung und dem
führenden Know-how der Swiss Infosec AG. Unsere
Berater - einige davon lizenzierte BS7799 Lead
Auditoren und IT-Grundschutz-Auditoren nach BSI -
helfen Ihnen gerne weiter!
Beispiele unseres Portfolios rund um BS7799:
- Erarbeitung und Umsetzung BS7799 konformer
Security Frameworks
- Durchführung von BS7799 Sicherheitsaudits
- Vorbereitung einer Zertifizierung nach BS 7799
- Toolunterstützung bei der Umsetzung von BS7799
Anforderungen
- Ausbildungen zu BS7799
Nicht Sicherheit um jeden Preis, sondern angemessene
Sicherheit ist das Ziel.
Um dieses Ziel zu erreichen, erarbeiten unsere Berater
zusammen mit Ihnen individuelle Lösungsansätze,
zugeschnitten auf Ihre Bedürfnisse.
Erarbeitung eines Security Frameworks
Die Swiss Infosec AG erarbeitet zusammen mit dem
Projektteam des Kunden das Security Framework - eine
umfassende, stufenweise aufzubauende und modulare
Gesamtlösung, die sich u.a. aus folgenden Dokumenten
zusammensetzt und vollumfänglich konform ist mit
BS7799 /ISO 17799:
- die Security Policy als oberstes Strategiepapier
- das Security Concept mit den Anforderungen und
der Sicherheitsorganisation
- das Security Regelwerk (Baselinekatalog) mit
Sicherheitsregeln
Durchführung von Sicherheitsaudits
Audits dienen dem Offenlegen von Schwachstellen und
Sicherheitsmängeln sowie der Kontrolle der
Wirksamkeit von Massnahmen. Sicherheitsaudits werden
dazu benutzt, die praktische Umsetzung und Einhaltung
von Sicherheitsmassnahmen innerhalb des Unternehmens
zu kontrollieren sowie die Einhaltung und Tauglichkeit
der Massnahmen durch jeden einzelnen Mitarbeiter zu
überprüfen.
Beratung im Vorfeld einer Zertifizierung
Die Swiss Infosec AG unterstützt Sie bei der
Vorbereitung einer Zertifizierung im Bereich BS7799.
Unterstützung durch ISMS Tool Box
Die Weiterentwicklung des bekannten Baseline Tool zur
ISMS Toolbox bietet Ihnen die Möglichkeit zum Aufbau
eines kostengünstigen ISMS inkl. Sicherstellung der
Legal Compliance. Profitieren Sie darüberhinaus von
der Erfahrung von über 40 Mitgliedern im ISMS Expert
Forum.
Ausbildung zu BS7799
Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung
aus einer Hand: Profitierens Sie von unserer
täglichen Consulting-Erfahrung mit den BS7799-Kursen
„Einführung“, „Vertiefung“ und „BS 7799
Lead Auditor“.
Alle Informationen
zu unserem Ausbildungsangebot finden Sie auf
unserer Website.
Quelle: Swiss Infosec AG, 02.02.2005
< zu den Themen
Neuerscheinungen:
Fachliteratur
 |
Praxis des IT-Rechts
ISBN: 3528058153
bestellen
|
 |
Daniel Bursch
IT-Security im Unternehmen
ISBN: 3865500641
bestellen
|
 |
Thomas Holey, Günter Welter, Armin Wiedemann
Wirtschaftsinformatik
ISBN: 3470527911
bestellen
|
Die Swiss Infosec AG (Bern/Sursee) beschäftigt sich
seit 1989 als Beratungs- und Ausbildungsunternehmen
ausschliesslich mit Themen der Integralen Sicherheit,
Informationssicherheit und IT Sicherheit - hersteller-
und produktneutral - mit mehr als 25 Mitarbeitern.
Wir unterstützen Sie bei der
Neben Beratung bieten wir standardisierte und
praxiserprobte Ausbildungen und weiterführende
Publikationen an.
Die erfolgreiche Lösung von Aufgaben im Bereich der
Informationssicherheit erfordert die
interdisziplinäre Zusammenarbeit diverser Fachleute:
IT-Spezialisten, Juristen, Psychologen, Organisatoren,
Architekten, Entwickler. Ein solch breit abgestütztes
Team haben wir und werden wir zukünftig noch weiter
ausbauen - zu Ihrem Nutzen und zu Ihrem Vorteil.
|
 |
Die
Swiss Infosec AG ist
in der Schweiz als produkte- und
herstellerneutrales, unabhängiges
Dienstleistungs-unternehmen im Bereich
Informations- und IT-Sicherheit tätig.
Als Beratungsunternehmen unterstützen wir
unsere Kunden interdisziplinär bei der
Konzeption, Umsetzung und beim Betrieb von
Lösungen für die integrale Sicherheit
generell sowie für die Informations- und
IT-Sicherheit speziell. Dabei sind wir im
organisatorisch konzeptionellen Bereich ebenso
zuhause wie im technischen Bereich. |
|
|
|
Sie
möchten sich an- oder abmelden?
Sie
erhalten dieses Mail als Abonnent der Swiss
Infosec Internet News.
Möchten Sie die News zukünftig in TXT-Format
erhalten, klicken Sie hier: News
in TXT-Format
Möchten Sie eine andere E-Mail-Adresse
anmelden, so klicken Sie bitte hier: Andere
E-Mail-Adresse anmelden
Möchten
Sie Informationen zur Swiss Infosec AG
erhalten, klicken Sie bitte hier: Informationen
bestellen
Möchten
Sie zukünftig keine News mehr erhalten, so
klicken Sie bitte hier: E-Mail-Adresse
abmelden
Sollten
Sie weitere Fragen und Anregungen haben, dann
schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch |
|
 |
| |
